Kubernetes 容器安全的系統需求 | Trend Micro Service Central

檢視次數:

在部署容器安全性之前，請確保您的 Kubernetes 叢集符合最低系統需求以及特定的 Helm 和網路政策需求。

注意

Container Security 支援每個 Kubernetes 版本直到其官方生命週期結束 (EOL)。
Container Security 支援每個 Helm 版本長達 6 個月。始終支援最新的三個版本。

系統需求

已啟動的功能	最小 vCPU 請求	最大 vCPU 限制	最小記憶體請求	最大記憶體限制
預設功能	0.6 vCPU	3.4 vCPU	572 MB	4 GB
執行階段安全性已啟動	06 vCPU + 每個節點 0.2 vCPU	3.4 vCPU + 每個節點 2 vCPU	572 MB + 768 MB 每個節點	4GB + 每個節點 2GB
執行階段掃描已啟動	0.7 vCPU	4.4 vCPU	592 MB	5GB
兩個功能均已啟動	0.7 vCPU + 每個節點 0.2 vCPU	4.4vCPU + 每個節點 2 vCPU	每個節點 592 MB + 768 MB	5 GB + 每個節點 2 GB

幫助和網路政策要求

需求

說明

Helm 3（或更高版本）

Container Security 元件使用 helm 套件管理工具來管理 Kubernetes。

網路政策技術支援中心

Container Security 持續合規透過利用 Kubernetes 網路政策來執行隔離緩解。網路政策由網路插件實施。

Amazon Elastic Kubernetes Service (Amazon EKS) : Calico 網路外掛程式
OpenShift 4.12, 4.13, 4.14, 4.15：OpenShift SDN

注意

確保您的環境在與 OpenShift 一起部署之前支持容器安全。
Azure Kubernetes Service (AKS)：Azure 網路政策或 Calico。
Google Kubernetes Engine (GKE)：網路策略實施

注意

在連接 Amazon EKS Fargate pod 之前，請確保容器符合 EKS Fargate 部署的其他系統需求。

如果您在 Red Hat OpenShift 環境中運行容器安全性，則僅支持對其安全上下文符合監管控制器的 SecurityContextConstraint 的 pod 進行網路隔離緩解。如果您希望讓容器安全性隔離默認不允許的 pod，您可以使用 overrides.yaml 文件來覆蓋默認設置。

重要

每個應用程式命名空間中必須存在具有 matchLabels trendmicro-cloud-one: isolate 的網路政策，才能執行適當的隔離緩解措施。